来自 CC防护 2021-02-08 17:07 的文章

ddos过滤_香港_娱乐网站防护

ddos过滤_香港_娱乐网站防护

MITRE的ATT&CK框架对于安全团队来说是一个非常有用的资源,可以帮助他们发现覆盖漏洞、提高可见性、发现新的威胁并加强组织的安全性。然而,在安全程序中实现ATT&CK并不是一项简单的任务。在过去一年半左右的时间里,当我们将Red Canary的探测和响应平台映射到ATT&CK时,我们遇到了(并克服了)各种各样的陷阱。我在MITRE的第一届年度ATT&CKcon上做了一次演示,我想把它们分享给那些不能参加的人。这里有五个要注意的陷阱和避免它们的策略。#不要以为所有的技巧都是一样的TL;DR:有些ATT&CK技术是特定的,而其他的是通用的,所以首先关注具体的技术,下列无法防御ddos,然后从那里扩大范围。问题每种ATT&CK技术的大小和范围都有很大的不同。有些技巧非常具体。对手可以运用的方法非常有限。例如,PowerShell只是一种编程语言。你可以用它做很多事情,它几乎适用于矩阵中的每一种战术。当我们开始将探测器映射到ATT&CK时,大量的探测器同时属于PowerShell和其他技术。矩阵中包含了类似这样的广泛技术。文件删除是另一个例子。如果你正在回应一个使用这种技术的破坏性攻击,你会想知道什么被删除了。但是,您可能不希望在每次删除文件时都创建警报,这是操作系统的正常功能。或者不了解矩阵的底端检测。解决方案为了克服这个陷阱,我们建议团队首先关注最具体的技术。在进入更广泛的技术之前,重点关注那些可以很容易地创建和实现可靠检测的技术。我们的探测工程团队在探测、测量和覆盖范围方面接触了ATT&CK技术。例如,在PowerShell中,我们首先关注下载托架,然后关注模糊处理,分离更广泛技术的组成部分,被ddos攻击怎么防御,并一次解决一个问题。关键是要确定对手使用更广泛的技术在做什么,以及这种行为是如何在组织网络上的数据源中显示出来的。我们发现这比试图通过矩阵从左到右或随机地找出检测结果要有效得多。 #2不要尝试为每种技术建立警报DR:你不需要对矩阵中的每一种技术都保持警惕,所以在转向更复杂的技术之前,你应该关注那些更容易被发现的技术。问题如果你一直试图评估你是否能察觉到这种技术,那么很容易落入这个陷阱。然而,你不能简单地将整个矩阵漏斗到警报中,因为并不是所有的技术都必须是警报。来自通用电气的事件响应者杰克·克鲁克(Jack Crook)谈到了在一系列检测技术中观察事物。如果将一些更广泛的技术组合到一个集群中,那么就可以为它们生成警报。一种方法是将技术组织成桶。首先,有一些可警报的技术,您可以围绕这些技术构建随时可调的警报。还有另一个桶,里面装满了上下文或法医学上重要的东西,但可能不太适合提醒。从上下文角度来看,文件删除等技术在破坏性攻击中非常重要。目录发现对于枚举网络的攻击者很有用。您肯定希望您的分析师了解这些事情,但您可能不想对这些技术发出警报,因为有合法的脚本运行在成百上千的系统上,每天(甚至每隔几个小时)执行这些操作。如果您为这些技术构建检测,那么您将用大量毫无意义的警报来压倒您的分析师。解决方案专注于用非常具体的技术提供高保真检测,同时使用不太具体的技术为您的分析师提供丰富的内容。这样,每个人都可以花更少的时间在警报上搅乱,而花更多的时间构建更复杂的检测,以捕捉到更为逃避的对抗技术。例如,如果您正在为MSBuild("T1127")创建检测覆盖率,那么您需要了解MSBuild是如何被善意和恶意地使用的。如果您真正了解什么是MSBuild的正常(可能是良性的)以及什么是异常的(并且可能是恶意的),那么您将提取异常行为并将其转换为检测器。 #3不要误解你的报道DR:每种技术都有无限的可能性,所以要衡量你能检测到的技术的功效,而不是未知的。问题我们有很多关于我们可以和不能涵盖的问题。回答这个问题的问题是,高防cdn网站还会被打吗,有很多技巧,可能性是无限的。例如,您可以构建一个覆盖图,其中绿色的小方格表面上表明您已经覆盖了给定的技术。但是当你检查每一种技术时,你会意识到在矩阵中的许多技术中存在着一个看似无限的可能性或变化的宇宙。你可能会认为你已经完全掌握了一项技术,但是一些研究人员会在Twitter上发布一些东西,你必须去添加现有的检测。在Red Canary,我们测量我们实现过的每一个检测器,收集关于它们是生成真阳性还是假阳性的度量,它们生成检测的目的是什么类型的检测,以及分析师在特定检测器的事件上花费了多少时间。它有助于我们跟踪探测器的性能,并确定哪些是导致我们的网络事件响应团队(CIRT)分析问题的原因。它最终允许我们减少分析师在每个事件上花费的时间,但它也提供了一种动态的查看报道的方式。解决方案测量你的探测器,了解ATT&CK技术不是静态的。不要浪费时间去衡量每一种技术中的未知数来定义你的覆盖范围,但是在你增加新的检测时,要让你的股东及时了解你的覆盖率是如何提高的。解释一下你是如何缩小差距的一部分,并在下一个相关的差距上下一步的工作。把你不断进步的事实告诉你。归根结底,这才是真正的目标:不断提高你的安全性。 #4不要呆在母体里对手的行动比模型快,所以你必须积极主动地寻找新出现的威胁。问题很容易变得近视,只关注矩阵中的技术。ATT&CK很棒,但ATT&CK并不是包罗万象。这当然是非常全面的,但肯定有一些东西不属于ATT&CK,其中一些会随着矩阵的增长而被添加到矩阵中。如果你一直呆在矩阵中,那么你就会落后,局域网ddos防御代码,因为对手很有创新精神,行动迅速,并且不断开发新技术或利用现有技术的新方法。另一方面,模型和标准需要时间更新。解决方案记住要留意ATT&CK之外发生的事情。一种新兴的技术可能比矩阵中的任何技术对您的业务造成更严重的风险。保持最新研究的最新进展,这样你就可以为ATT&CK中尚未包含的技术开发覆盖范围。 #5别忘了基本原理TL;DR:ATT&CK是一个很好的对抗性行为存储库,但是您必须小心不要忘记基本的安全概念,如安全意识培训、漏洞管理和最小特权原则。问题由于我们的团队花了两年的大部分时间对ATT&CK进行映射和操作,我们发现自己陷入了专注于ATT&CK以及检测和响应上。然而,安全远不止于此。在ATT&CK的范围之外还有许多重要的基础知识。你可以拥有地球上最好的ATT&CK覆盖,但是由于糟糕的IT卫生状况而遭受破坏。或者,也许你的安全团队很擅长发现邪恶,但是缺乏一个明确的事件响应计划来指导他们如何应对邪恶。解决方案在有意义的地方利用ATT&CK,但还要继续处理对您和您的组织很重要的其他安全控制。划分网络、限制主机到主机的通信、维护软件和系统清单、安装修补程序、控制用户权限,并制定经过测试的事件响应计划。这些类型的基本面总是会对安全产生重大影响。 结论我们是大的(巨大的!)红金丝雀的ATT&CK粉丝,我们强烈鼓励安全团队将其作为一种资源来改善其组织的安全态势。记住不要在矩阵中迷失自己,也不要过分关注不可能或无关紧要的事情。希望这些技巧能帮助您专注于提供更好的安全效果,而不会迷失在任何ATT&CK技术的兔子洞中。

,DDos防御攻击与云服务